Codes sind auf einem Bildschirm zu sehen. | SWR

Massives Datenleck Nutzerdaten jahrelang online

Stand: 12.01.2022 18:09 Uhr

Sensible Daten der Nutzer mehrerer Onlineshops lagen jahrelang ungeschützt im Netz. Nach Plusminus-Recherchen wurden die Kunden bislang nicht darüber informiert.

Von Julian Gräfe, SWR

Mail- und Postadressen, Bestellinformationen, Telefonnummern und teilweise sogar Bankverbindungen: Mehr als eine Million Datensätze von schätzungsweise mehr als 700.000 Nutzern in ganz Deutschland sind von einer massiven Sicherheitslücke betroffen. Dadurch stehen sie seit mehreren Jahren ungeschützt im Internet.

Datenleck bei einem Schnittstellen-Dienstleister

Die großen Plattformen Otto, Kaufland und Mediamarkt betreiben auf ihren Seiten auch Marktplätze. Dort bieten externe Händler ihre Produkte an. Um auf den Plattformen verkaufen zu können, verbinden die Händler über sogenannte Schnittstellen-Dienstleister ihr Warenwirtschaftssystem mit dem Online-Marktplatz. Die jeweiligen Plattformen stellen hierzu Schnittstellen zur Verfügung. Daran können die Dienstleister andocken.

Sie verarbeiten sodann die Bestelldaten der Kunden für den Händler. In Deutschland gibt es rund ein Dutzend solcher Schnittstellen-Dienstleister. Bei einem von ihnen waren Daten ungeschützt. Von dem Datenleck sind folgende Marktplätze betroffen: Otto, Kaufland (ehemals real), Mediamarkt, Check24, Tyre24, idealo, Hood und Crowdfox.

Wer trägt die Verantwortung?

Die Lücke wurde bereits im Sommer 2021 von einem Programmierer entdeckt. Das Datenleck wurde zwar geschlossen, die betroffenen Kunden sind nach ARD-Recherchen aber bislang nicht darüber informiert worden. Plusminus konnte die Datensätze exklusiv einsehen und mit betroffenen Kunden sprechen. Eine von ihnen ist Christa Reise-Zunft. Sie hatte im März 2021 mehrere Kissenfüllungen auf Kaufland.de bestellt. Durch das Datenleck waren ihre Post- und Mailadresse sowie Rechnung und Bestelldaten im Netz. "Ich denke, die Daten sind geschützt. Die Plattformen müssen die Leute doch darüber benachrichtigen", ärgert sich die Stuttgarterin.

Die Plattformen weisen darauf hin, dass sie datenschutzrechtlich für die Marktplätze nicht verantwortlich seien. Kaufland erklärt gegenüber Plusminus, man sei nur "Vermittler zwischen Kunden und Händlern". Die Händler seien die direkten Vertragspartner der Kunden. Daher seien die Händler auch für den Schutz der Kundendaten verantwortlich.

Die zuständigen Landesdatenschutzbeauftragten haben den Fall um das Datenleck bereits untersucht. Dass die betroffenen Kunden seit Monaten nicht informiert worden sind, ist für Stefan Brink, den Landesdatenschutzbeauftragten von Baden-Württemberg, ein "schwerwiegender und skandalöser Vorgang".

Daten bereits im Darknet?

Der Schweizer IT-Sicherheitsexperte Mark Ruef hat für Plusminus die Daten analysiert und überprüft, ob sie möglicherweise schon im Darknet gehandelt worden sind. "Die Daten sind sehr konkret, es sind auch Zahlungsinformationen dabei. Damit könnte man Phishing-Mails füllen oder Identitätsdiebstahl begehen", so Ruef. Ob die betroffenen Datensätze tatsächlich im Darknet gehandelt worden seien, lasse sich final allerdings nicht mehr klären - weil das Datenleck drei Jahre lang bestand.

Über dieses Thema berichtet das ARD-Magazin Plusminus heute Abend um 21.24 Uhr.